UNKNOWNCVE-2026-34777
CVE-2026-34777: electronの権限管理の脆弱性 (CVSS 5.4)
プラットフォーム
nodejs
コンポーネント
electron
修正バージョン
38.8.6
CVE-2026-34777は、electronにおける権限管理の脆弱性です。この脆弱性により、iframeが権限をリクエストする際に、誤ったオリジンが`session.setPermissionRequestHandler()`に渡される可能性があり、埋め込まれたサードパーティコンテンツに意図せず権限が付与される危険性があります。影響を受けるのはelectronの特定のバージョンです。この問題はバージョン38.8.6で修正されています。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-34777とは何ですか?
CVE-2026-34777は、electronの権限管理に関する脆弱性で、iframeの権限リクエスト時に誤ったオリジンが渡される可能性があります。
この脆弱性の影響を受けますか?
`session.setPermissionRequestHandler()`でオリジンパラメータまたは`webContents.getURL()`に基づいて権限を付与するelectronアプリケーションは影響を受ける可能性があります。`details.requestingUrl`をチェックしている場合は影響を受けません。
この脆弱性を修正するにはどうすればよいですか?
electronをバージョン38.8.6以降にアップデートしてください。これにより、権限リクエスト時のオリジン検証が正しく行われるようになります。